Campagna sLoad “Star Wars Edition” veicolata via PEC

10/03/2020

malspam sLoad

In data odierna il CERT-PA ha avuto evidenza di una nuova campagna sLoad veicolata via PEC.

Come visibile dall’immagine sopra riportata, la mail si presenta con oggetto “Allegato ns documento (copia di cortesia) ITXXXXXX)” ed invita l’utente a visionare l’allegato contenuto in un archivio compresso.

All’apertura dell’archivio l’utente si ritrova di fronte ad un falso pdf e un file vbs.

Dalle analisi degli script si evince che la campagna in corso è destinata a veicolare una variante di sLoad denominata “Star Wars Edition” di cui si riporta lo script decodificato.

La metodologia utilizzata è molto simile a quella già descritta nel bollettino CERT-PA-B003-190610 emesso nel mese di giugno 2019.

Si riportano di seguito gli IoC finora rilevati e già condivisi con la constituency. La lista verrà aggiornata man mano che verranno individuati nuovi campioni.

Indicatori di compromissione

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash